El viernes 29 de marzo microsoft empleado Andrés Freund compartido que había encontrado síntomas extraños en el paquete xz en las instalaciones de Debian. Freund notó que el inicio de sesión ssh requería mucha CPU y decidió investigar lo que condujo al descubrimiento.
La vulnerabilidad ha recibido las máximas calificaciones de seguridad con una puntuación CVS de 10 y una calificación de impacto crítico de Red Hat Product Security.
Red Hat asignó el problema CVE-2024-3094, pero basándose en la gravedad y en un error importante anterior nombrado Sangrado del corazónla comunidad ha llamado descaradamente a la vulnerabilidad un aspecto más nombre vulgar e invirtió el logo de Heartbleed.
Afortunadamente, la vulnerabilidad se detectó a tiempo.
sombrero rojo escribió: «Se descubrió código malicioso en los archivos tar ascendentes de xz, a partir de la versión 5.6.0. A través de una serie de ofuscaciones complejas, el proceso de compilación de liblzma extrae un archivo objeto precompilado de un archivo de prueba disfrazado que existe en el código fuente, que es luego se usa para modificar funciones específicas en el código liblzma. Esto da como resultado una biblioteca liblzma modificada que puede ser utilizada por cualquier software vinculado a esta biblioteca, interceptando y modificando la interacción de datos con esta biblioteca.
La inyección maliciosa sólo se puede encontrar en el paquete de descarga tarball de las bibliotecas xz versiones 5.6.0 y 5.6.1. La distribución de Git no incluye la macro M4 que activa el código. Los artefactos de la segunda etapa están presentes en el repositorio de Git para la inyección durante el tiempo de compilación, si la macro M4 maliciosa está presente. Sin la combinación en la compilación, el archivo de la segunda etapa es inofensivo.
Se recomienda buscar xz versión 5.6.0 o 5.6.1 en lo siguiente distribuciones y bajar a 5.4.6. Si no puede, debe desactivar los servidores SSH públicos.